我正在为我们的内部HPC群集环境设置一个新的DNS基础结构。 这涉及到从我们现有的DNS权威和域提供迁移path。
为了举例,假设我们有一个example.edu的机构域。 (我们实际上有一个真正的.edu域。)我们组使用子域rc.example.edu 。 我在ns1.rc.example.edu为这个域build立了一个新的内部权限,并且从我们的内部parsing器转发给这个权限。
zone "rc.example.edu" IN { type forward; forward only; forwarders { 10.225.160.10; }; # ip address of ns1.rc.example.edu };
这按预期工作。 我可以查询我的resolver1.rc.example.edu并获取该域名称的地址。
[root@resolver1 ~]# host -t A ns1.rc.colorado.edu ns1.rc.colorado.edu has address 10.225.160.10
但我们在xcatmn.rc.local中有一个传统的名称服务器,我希望在迁移期间也能解决这个问题。 所以我把这个添加到resolver1的named.conf来镜像以前的转发configuration:
zone "rc.local" IN { type forward; forward only; forwarders { 10.16.0.5; }; # ip address of xcatmn.rc.local };
但是当我尝试从这个域查询logging时,我得到了SERVFAIL 。
[root@resolver1 ~]# host -t A xcatmn.rc.local createfetch: xcatmn.rc.local A validating @0x7ffba86868d0: xcatmn.rc.local A: bad cache hit (xcatmn.rc.local/DS) error (broken trust chain) resolving 'xcatmn.rc.local/A/IN': 10.16.0.5#53 client 10.225.160.52#54752 (xcatmn.rc.local): query failed (SERVFAIL) for xcatmn.rc.local/IN/A at query.c:7004 createfetch: xcatmn.rc.local A validating @0x7ffba86868d0: xcatmn.rc.local A: bad cache hit (xcatmn.rc.local/DS) error (broken trust chain) resolving 'xcatmn.rc.local/A/IN': 10.16.0.5#53 client 10.225.160.52#37688 (xcatmn.rc.local): query failed (SERVFAIL) for xcatmn.rc.local/IN/A at query.c:7004 Host xcatmn.rc.local not found: 2(SERVFAIL)
如果我在resolver1禁用DNSSEC,则此查询成功; 但我并不想在所有的解决scheme中禁用它。 最多,我想要禁用rc.local DNSSEC。 域只。
dnssec-enable no; dnssec-validation no;
这可能吗? 我不太了解DNSSEC,所以我不知道为什么查询rc.example.edu是成功的(没有我做过任何types的签名),而对rc.local查询是不成功的。
我究竟做错了什么? 我应该怎么做呢? (我知道我不应该使用.local域名,这是为了迁移它,而在迁移期间支持该域名中的现有名称。)